Bezpečnostní střípky: chraňte své online účty

Obecná a firemní bezpečnost IT

Jaká je čínská podzemní online ekonomika – Exposing China´s vast underground economy? Už v nadpise je konstatováno – ohromná. Článek obsahuje komentář k studii Investigating China´s Online Underground Economy (California University´s Institute on Global Conflict and Co-operation, 54 stran).

Plány nejdůležitějších francouzských vládních budov byly na ukradeném USB flash disku – Merde! French Prez palace blueprints nicked from cable layer. A to dokonce včetně elysejského prezidentského paláce, hlavních budov policie atd.
Viz také komentář – French Government Building Blueprints Stolen With USB Drive.

V 65 procentech organizací dochází k exponování informací identifikovatelných vůči konkrétním osobám – 65% of companies expose personally identifiable information. V článku jsou komentovány výsledky průzkumu společnosti GreenSQL.

Na co se často zapomíná při analýze rizik – The Five Neglects: Risks Gone Amiss. Viz také Near-misses, mitigation, and resilience a diskuzi na Schneierově blogu – Five ”Neglects“ in Risk Management. Rozebíraná pětice ve výše uvedeném dvanáctistránkovém dokumentu je následující:

1. Zanedbání pravděpodobnostního pohledu
2. Zanedbání dopadů
3. Zanedbání existujících statistik
4. Zanedbání některých možných řešení (není pak nalezeno optimální řešení)
5. Zanedbání vnějších rizik

Někteří říkají – dnešní kybernetická válka, to je studená válka – Today´s Cyber-War is a Cold War, Some Say. Brian Prince tlumočí názory některých odborníků (F-Secure, Trend Micro, Symantec).

Pentagon a Plan X pro boje online – Pentagon develops ´Plan X´ for next-gen online combat. S tímto cílem proběhne 27. září úvodní The Foundational Cyberwarfare (Plan X) Proposers´ Day Workshop.

Google nabírá specialisty na bezpečnost a ochranu soukromí – Google Recruiting Privacy, Security Specialist in Wake of FTC Fines. Pokuta 22,5 miliónu dolarů od FTC (Federal Trade Commission) zafungovala.

Brouzdání pornem v práci vede k průnikům do společnosti – Porn browsing at work leads to corporate security breaches. Bob Eisenhardt rozebírá podrobněji skutečnosti, které s tímto problémem souvisí.

Čína chce také bojovat proti kybernetické kriminalitě – China not enemy in fight against cybercrime. Článek je věnován vystoupení Du Yuejin (deputy CTO of national computer emergency response team – CERT) na akci Cybersecurity and Cyberterrorism Conference v Singapuru.

3 Lines of Cyberdefense – tři linie kybernetické obrany, Carolyn Holcomb z PwC hovoří o úloze auditů. Tři zmíněné linie:

• Správa
• Správa rizik a funkce pro dosahování shody
• Interní audit

jsou rozebírány ve studii

• Fortifying your defenses The role of internal audit in assuring data security and privacy (12 stran)

Americké ministerstvo národní bezpečnosti vydalo varování, že elektrárny jsou zranitelné vůči útoku hackerů díky nalezené chybě v SW Siemensu – Power Plants Are Vulnerable To Hackers with Siemens flaw. O této zranitelnosti zde bylo již informováno, viz také níže.

Chraňte své online účty – 60-minute Security Makeover: Prevent Your Own ´Epic Hack´. Investujte trochu času a seznamte se se zde uvedenými doporučeními. Autor nezaručuje stoprocentní ochranu vašich internetových účtů, ale přesto se alespoň stanete obtížnějším cílem.

WikiLeaks

Jak to bude s asylem Juliana Assange v Ecuadoru – Assange is no hero, and neither is Ecuador. Viz také další komentář – Assange´s options: How could he escape the UK?.

Bývalá šéfka MI-5 (Stella Rimington) říká, že uniklé depeše, které zveřejnily WikiLeaks, neobsahují příliš citlivé informace – Ehemalige MI5-Chefin: WikiLeaks-Depeschen ”nicht so sensibel“.

Studenti a počítače

Jak zabezpečit notebook vašeho dítěte na studentské koleji – How to Secure Your College-Bound Child's Laptop. Otevřenost kolejních sítí vede k větším možnostem útočníků. Autor článku uvádí několik doporučení, kterými by se měli rodiče a studenti řídit (před prvním připojením do sítě a pak v dalším čase).

Co by měli znát studenti na kolejích – osm opatření v rámci opatrnosti – 8 Safety Basics College Students Need to Know. Autorka je předává formou slideshow.

Další doporučení tohoto typu najdete v článku 5 Security Tips IT Personnel Wish Students Knew.

Software

Open source není bezpečný, říká sitcom (Disney) – Disney sitcom says open source is insecure. Zajímavý moment byl odchycen dříve než (pravděpodobně) bude smazán.

O volně dostupném nástroji od Microsoftu – Microsoft Attack Surface Analyzer – se hovoří v článku Microsoft Attack Surface Analyzer gives IT pros risk assessment tool. Nástroj (nyní ve verzi 1.0) pomůže IT profesionálům vyhodnocovat rizika.

Z volebních aplikací Obamy a Romneyho unikají osobní data – Obama and Romney election apps suck up personal data, research finds. Informuje o tom společnost GFI Software.

Znovu přichází záplaty pro Flash Player – Flash Player vulnerable again a week after patching. Je doporučováno aktualizovat na verzi 11.4.402.265.

5 Systems You´re Forgetting To Patch – pět systémů, na které je zapomínáno při záplatování, Ericka Chickowski připomíná následující:

• Zařízení používající Javu
• Tiskárny
• Routery
• Systémy ERP
• Databáze

Curiosity – program pro ovládání marsovského vozítka – obsahuje 2 000 chyb – Boffins zapped ´2,000 bugs´ from Curiosity´s 2 MILLION lines of code. Vyplývá to z analýzy, kterou provedla společnost Coverity.

FBI zastavilo fungování tří webů, které prodávaly podvodné aplikace pro Android – Bogus Android markets seized in FBI software crackdown. Na akci se podílela i francouzská a italská policie. Cracknuté aplikace jsou znovu prodávány (spolu s malwarem).
Viz také komentář – US Feds shutter three Android app pirate sites.

The Tangled Web: A Guide to Securing Modern Web Applications, to je recenze stejnojmenné knihy. Autorem knihy je Michal Zalewski, kniha má 320 stran, vyšla v nakladatelství No Starch Press v listopadu 2011 a najdete ji na Amazonu.

How To Protect Your Commercial Web Server – jak ochránit váš komerční webový server? Robert Lemos rozebírá ve svém rozsáhlejším článku tyto body:

• Snažte se, aby vaše bezpečnostní snahy nebyly komplikované
• Naplánujte a vyzkoušejte vaši odpověď na incident
• Vyhodnoťte si bezpečnost třetích stran
• Často skenujte váš web
• Používejte postupy bezpečného vývoje
• Pročistěte provoz na svém webu
• Monitorujte jako šílenec
• Zredukujte záběr
• Využijte další bezpečnostní prostředky

Windows 8 Express Settings – jak si s těmito nastaveními můžete ublížit – What's wrong with this screen shot? Chcete umožnit aplikacím volný přístup k Vašim datům a nechat sdílet své disky?

Pozor na falešné aplikace pro Adobe Flash (Android) – Beware of Fake Adobe Flash Apps. Joe McManus zde některé z nich rozebírá.

Microsoft denies Windows 8 app spying via SmartScreen – Windows 8 a sledování chování uživatele prostřednictvím SmartScreen. Jemné upozornění, viz blog Microsoftu – SmartScreen® Application Reputation – Building Reputation.

Configure Outbound Firewall Rules for Data Protection, pro přístup k této příručce (pětistránkovému dokumentu) je nezbytná registrace.

Malware

Uncloaking invisible iFrames – iFrames a cesty k šíření malware, autor (Michael Kasner) vysvětluje jak iFrames fungují, co jsou neviditelné iFrames a jak vznikají škodící (malicious) iFrames.

Malware Crisis infikuje VMware virtuální stroje – Crisis malware infects VMware virtual machines, researchers say. Crisis je trojan, který cílí na počítače s MS Windows a Mac OS X.
Viz také:

• Researchers in ”Crisis“ mode over virtual spyware find
• Crisis Financial Malware Spreads Via Virtual Machines
• Superworm Crisis eats Macs, VMware and – shock – Windows

Jak se Crisise zbavit:

• Remove Crisis

FBI varuje před novým vyděračským virem na internetu – FBI warns of new internet virus holding computers hostage. Reveton, k tomu infikoval počítač, nevyžaduje otevření speciálního souboru či e-mailové stránky. Stačí návštěva infikovaného webu.

Gauss, Shamoon a spol.

Disttrack discovery highlights growing use of targeted malware – nové malware používané pro cílené útoky, W32.Disttrack (známý také jako Troj/Mdrop-ELD či the Shamoon) cílí na organizace v energetickém sektoru.
Viz také informace na blogu společnosti Sophos – Shamoon (Troj/Mdrop-ELD) – Targeted destructive malware explained.
Dále pak – Shamoon virus makes computers unusable in energy sector.

Podle odborníků byl Shamoon cílen na saudskoarabskou ropnou společnost – Researchers Say Shamoon Possibly Linked to Attack on Saudi Oil Company. S největší pravděpodobností jí byla Saudi Aramco.
Viz také komentář – Shamoon, Saudi Aramco, And Targeted Destruction, zde také najdete další podrobnosti k tomu, jak celý útok probíhal.

Další komentáře:

• Flaws in Shamoon Malware Reinforce Theory It´s Not A Wiper Variant
• Some Signs Point to Shamoon as Malware in Aramco Attack
• Kill timer found in Shamoon malware suggests possible connection to Saudi Aramco attack
• Among Digital Crumbs from Saudi Aramco Cyberattack, Image of Burning U.S. Flag

Informace z novějších analýz obsahuje článek

• Shamoon malware kill timer suggests connection to Saudi Aramco attack

Kdo je za útokem na saudskou ropnou společnost, vláda či hacktivisté? Skupina, která si říká ”Cuttng Sword of Justice“ zveřejnila prohlášení na Pastebin. Podobný útok je prý plánován na sobotu – Attack Against Saudi Oil Company: Government Or Hacktivists?

Malwaru Shamoon se věnují také články:

• Kill timer found in Shamoon malware suggests possible connection to Saudi Aramco attack 
• Hackers Threaten to Attack Saudi Aramco Oil Company Again on August 25

Help Cryptanalyze Gauss, to je diskuze na Schneierově blogu k dešifrování Gausse. Citát: From a cryptanalysis perspective it basically comes down to a md5 pre-image attack or an attack on RC4 stream cipher. 

Společnost FireEye stáhla své tvrzení o propojení Gausse a Flame – Security biz U-turns on Gauss, Flame joint cyberspy hub claim. Ve skutečnosti onen sdílený c&c server byl pod kontrolou společnosti Kaspersky Lab, která takto získává informace o těchto typech malwaru. Viz informace – Additional Information on Gauss and Flame Leads to Different Conclusion.
Viz také komentář – FireEye updates its Gauss blog post: ´we got it wrong´.

Viry

Studie říká, že pokud váš antivir nezachytí nový malware do 6 dní, nezachytí ho nikdy – Study: If your antivirus doesn´t sniff ´new´ malware in 6 days, it never will. Se závěry studie, které vychází z výsledků společnosti Carbon Black, však někteří nesouhlasí.

Hackeři a jiní útočníci

Hacknut byl oficiální blog společnosti AMD – AMD Blog Hacked, Database leaked on Internet. Na Twitteru byla zveřejněna kompletní databáze uživatelů blogu (e-maily, uživatelská jména a hesla).
Viz také další komentář k tomuto útoku na AMD – AMD snubs hackers´ tiny package, will fix raided blog.

iPhone SMS spoofing tool released – ještě k podvodným SMS pro iPhone, v článku jsou podrobněji vysvětlovány vlastnosti tohoto útoku a je zde také odkaz na blog francouzského hackera – pod2g´s iOS blog.
Viz také – What You Should Know About the iPhone SMS Spoof Attack.

Electronics Giant Philips Hit by Data-Dumping Hackers – k útoku hackerů na Philips. Na internetu se objevila ukradená osobní data italských zákazníků tohoto elektronického giganta, ale také množství dalších ukradených dat. Hesla zákazníků Philipse jsou přitom v otevřeném tvaru (nejsou zahashovaná).

Zmocníte-li se e-mailu, zmocníte se osoby – Own the Email, Own the Person. V článku jsou komentovány výsledky analýzy (One Mail to Rule Them All), kterou provedl Cesar Cerrudo (IOActive).

Microsoft vydal varování ohledně možných hacků VPN (útoky man-in-the-middle) – Microsoft warns of ´man-in-the-middle´ VPN password hack. Útočník se pro některé VPN sítě a bezdráty dokáže dostat k heslům. Je to reakce na vystoupení na Defconu (Moxie Marlinspike). Viz také – Microsoft says don´t use PPTP and MS-CHAP.

Na izraelské firmy útočí kybernetičtí vyděrači – Israeli firms targeted by cyber extortionists. Dr. Nimrod Kozlovski: kybernetické vydírání narůstá a provádět ho začínají různorodé skupiny a útočníci.

Anonymous

Anonymous shodili vládní stránky UK (protest proti zacházení s Juliem Assange) – Anonymous takes down UK government websites in Assange attack. Útok DDoS způsobil, že některé weby jsou offline.

Anonymous útočili na web ugandského ministerského předsedy – Uganda Tightens Online Security Following Anonymous Attack. Jedná se o nesouhlas s ugandskou legislativou v oblasti sexuálních vztahů (homosexualita).

Anonymous se přihlásili k řadě útoků na britské a ruské weby – Anonymous leads attacks over Assange, Pussy Riot handling. Julian Assange a Pussy Riot jsou ”příčinou“ těchto útoků.
Viz také komentáře:

• Anonymous keeps up its protest in support of Assange
• Anonymous Hacks Russian Website Over Pussy Riot Sentences
• Anonymous Claims Takedown of U.K. Government Websites

Sabu (LulzSec) dostal šestiměsíční odklad – US Govt rewards Sabu with six-month sentencing delay – díky spolupráci s policií. Přesto mu v případě odsouzení hrozí, že za mřížemi stráví zbytek života.

Hackeři z Anonymous hrozí útokem na weby Skylinku a CS Linku. Kvůli poplatku, z úvodu: Útoku má čelit i web Slovenské obchodní inspekce, která podle hackerů nic nepodniká proti zpoplatnění dosud bezplatných programových nabídek Skylinku a CS Linku.

Hardware

Pasivní senzor vidí skrze zdi – See-through-wall surveillance with WiFi shown at UCL. Tyto výsledky jsou komentovány v diskuzi na Schneierově blogu – Passive Sensor that Sees Through Walls.

Společnost McAfee vytvořila tým pracovníků pro vybudování systémů ochran automobilů budoucích generací – McAfee puts Barnaby Jack on car-jacking hackers´ case. Součástí týmu je i známý bezpečnostní výzkumník Jack Barnaby.
Viz také komentáře:

• McAfee will prevent vehicles from becoming vulnerable to Car Virus
• Researchers consider threat of car hacking

Infikované flash disky stojí v pozadí 32 procent útoků – Infected flash drives common – survey. V článku jsou citovány údaje z přehledu společnosti Kaspersky Lab (byl prováděn v květnu 2012).

Siemens pracuje na odstranění kritické chyby kontrolních systémů – Siemens works to fix vulnerability in critical control networks. Jedná se o zranitelnost síťových routerů a přepínačů jeho pobočky RuggedCom.
Viz také komentáře:

• Clarke tags new RuggedCom vuln
• ICS-CERT warns of SSL security flaw in RuggedCom industrial networking devices
• DHS investigating Siemens ´flaw´ in power plant security
• RuggedCom Devices Have Hard-Coded SSL Keys

Technology´s Dark Side: Devious Devices Designed to Harm You – technologie, které vám mohou ublížit. Kromě bankomatových ”udělátek“ jsou zmíněna další zařízení, jejichž vlastnosti vás mohou zaskočit (Power Pwn, RFID, GPS a inzulínové pumpy).

Společnost Onity vydá opravu pro hotelové zámkové karty – Hotel keycard firm issues fixes after Black Hat hacker breaks locks. Jedná se o chyby, ke kterým byla podána informace na konferenci Black Hat.

Mobilní zařízení

Tech Insight: Bringing Security To Bring-Your-Own-Network Environments – BYOD a BYON (Bring-Your-Own-Network), o další komplikaci se zařízeními BYOD, se kterou musí bezpečnostní profesionálové počítat.

92 procent čelných (top 100) mobilních aplikací je hacknuto – 92 % of the top 100 mobile apps have been hacked. Konstatuje to zpráva společnosti Arxan Technologies. Číslo je pro placené iOS aplikace, pro Android toto číslo je u placených aplikací rovno 100 procent. Ohledně volně dostupných aplikací jsou čísla menší (iOS 40 procent, Android 60 procent). V článku jsou z ní zmíněna i některá další čísla.
Stránky společnosti – App Economy under Attack: Report Reveals More than 90 Percent of the Top 100 Mobile Apps Have Been Hacked.
Odkaz na samotnou zprávu – State of Security in the App Economy: ”Mobile Apps Under Attack“
Viz také komentáře:

• Pirated mobile Android and Apple apps getting hacked, cracked and smacked
• Hacked Versions of Popular Mobile Apps Widespread, Report Finds

The iPhone Has Passed a Key Security Threshold – je bezpečnost iPhone skutečně tak dobrá? Bruce Schneier je v tomto ohledu skeptický – Is iPhone Security Really this Good? Viz také komentář – iPhone Security Unbreakable? Security Gurus Disagree.

Nejvíce nebezpečné mobilní hrozby roku 2012, jejich přehled připravil Brian Prince – Top 5 Deadliest Mobile Malware Threats Of 2012:

• FakeInst SMS Trojan and its variants
• SMSZombie
• NotCompatible
• Android.Bmaster
• LuckyCat

Chcete soukromí a bezpečí? Vypněte na svém mobilu GPS – Want Security and Privacy? Turn Off Your Mobile Devices´ GPS. Kromě běžných obav zmiňuje autorka článku i fungování některých speciálních aplikací.

BYOD – Co se můžeme naučit od Číny – BYOD: What Can We Learn from China? Se zajímavými čínskými zkušenostmi přichází Tom Kaneshige.

Americký NIST vydal dokument The Role of the National Institute of Standards and Technology in Mobile Security. Obsahuje přehled aktivit NISTu v oblasti mobilní bezpečnosti.

Mobilní malware

SMSZombie wraps self in nudie pics, slips into 500,000 Android devices, k trojanu SMSZombie pro Android, v čínském mobilním platebním systému generuje neoprávněné platby.

Na uživatele BlackBerry cílí nový malware – Spear Phishing Emails, Malware, Targeting BlackBerry Users. Potenciálním obětem je zasílán e-mail s hlavičkou ”Your BlackBerry ID has been created“.
Viz také komentář – Phishing emails targeting BlackBerry, iPhone users (majitelé iPhone mají být cílem obdobných útoků).

Spam

Inside the Grum Botnet – uvnitř botnetu Grum. Brian Krebs získal zajímavé materiály k operacím, které zajišťují běh tohoto botnetu.

Elektronické bankovnictví

Hackeři se snaží vylákat peníze z klientů České spořitelny, z úvodu: Klienti tuzemských bank si již zvykli na podvodné e-maily, které z nich lákají citlivé údaje o platebních kartách a internetovém bankovnictví. Hackerům nyní s podvody pomáhá i nový počítačový virus, varovala Česká spořitelna.

Autentizace, hesla

UK: Tesco je vyšetřováno kvůli bezpečnostním nedostatkům – UK watchdog snaps on glove to probe Tesco´s ´security fails´. Společnost zasílala svým zákazníkům hesla v otevřeném tvaru. Kolik našich webů takto postupuje?

6 Password Security Essentials For Developers, článek obsahuje náměty pro práci s hesly, je určen vývojářům. Je zde rozebírána následující šestice tipů:

1. Vždy zahashujte hesla
2. Zakažte znovuzískání hesla
3. Neomezujte délku hesla ani jeho variabilitu
4. Nesměšujte HTTP a HTTPS
5. Udržujte systémy v aktualizované podobě
6. Vychovávejte tým pro služby zákazníkům

Proč hesla nikdy nebyla slabší a crackeři nikdy nebyli silnější – Why passwords have never been weaker—and crackers have never been stronger. Rozsáhlejší článek Dana Goodina mapuje podrobně současný stav problému.

Pomůcky pro znovuzískání hesla z Windows PC lze snadno vykrást – Password hints easily snaffled from Windows PCs. Obdobně to ale platí i pro Mac OS.
Viz také komentáře:

• New Windows 7 and 8 Key Makes Password Hints Easy to Crack from afar
• Researchers Remotely Harvest Password Hints from Windows 7, 8 

Phishing

Phishing in Season: A Look at Online Fraud in 2012 – letošní phishing: pohled na online podvody roku 2012. Autor cituje výsledky za první pololetí letošního roku, konstatuje, že v tomto směru došlo k významnému nárůstu co se týče množství útoků.
Phishingu je také věnován článek Phishing: Where We´re Losing Ground. Najdete v něm mj. odkaz na poslední zprávu – APWG.
Viz také komentář – RSA finds phishing led to $687m in worldwide loses.

Phishing on sites using SSL Certificates – phishing a weby s certifikáty SSL, článek obsahuje vysvětlení okolností celého útoku a poukazuje na momenty, kdy je třeba být opatrní.

Elektronický podpis

Jak se chovat v incidentech s podvodnými digitálními certifikáty – How to handle a digital-certificate fraud incident. Ellen Messmer navazuje ve svém článku na nedávno vydanou příručku NISTu (Preparing and Responding to Certification Authority Compromise and Fraudulent Certificate Issuance).

Normy a normativní dokumenty

Americký NIST vydal draft:

• Special Publication 800–56A, Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography

Nové bezpečnostní normy pro BIOS mají za cíl bojovat proti rootkitům – New BIOS security standards aimed at fighting rootkit attacks. V článku je komentován dokumentu NISTu – Special Publication 800–147B. BIOS Protection Guidelines for Servers (draft). Navazuje na Special Publication 800–147. BIOS Protection Guidelines.
Další komentář k tomuto dokumentu je na stránce NIST Offers Guidelines for Securing BIOS.

Kryptografie

A Review of Selected Cryptographic Libraries – komentář k vybraným kryptografickým knihovnám, článek přináší užitečné informace pro ty, kteří se touto problematikou zabývají.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.